Azure Active Directory 同期ツール使用時にパスワード同期で発生する問題をトラブルシューティングする方法

はじめに
本資料は、Azure Active Directory 同期アプライアンスを使用して、オンプレミス環境から Azure Acytive Directory (Azure AD) へパスワード同期を実行する場合に発生する可能性のある問題について、そのトラブルシューティングに役立つ情報を記載しています。以下のトピックについて扱います。

トラブルシューティングを始める前に

本資料の手順を実行する場合は、最新版の Azure ADctive Connect をインストールしていることを確認してください。

: その他すべての Azure AD 同期アプライアンスは廃止予定です。その他のアプライアンスを使用している場合は、Azure AD Connect をインストールしてください。

また、ディレクトリ同期トラブルシューティング ツールを使用して、ディレクトリ同期が正常な状態であることも確認してください。Azure Active Directory 同期アプライアンスがインストールされているサーバー上で Internet Explorer を開き、http://aka.ms/hrcsync にアクセスし、ディレクトリ同期トラブルシューティング ツールを実行してください。

パスワード同期で発生する問題のトラブルシューティング

一部のユーザーが Office 365、Azure、Microsoft Intune にサインインできない


このシナリオでは、ほとんどのユーザーのパスワードは同期されていますが、一部のユーザーのパスワードが同期されていません。以下は Office 365、Azure、Intune などの Microsoft クラウド サービスへのサインイン不可シナリオおよびそのトラブルシューティング方法です。

シナリオ 1: ユーザー アカウントで [ユーザーは次回ログオン時にパスワードの変更が必要] がオンになっている
以下の手順に従い、問題を解決します。
  1. 以下いずれかを行います。
    • Active Directory ユーザーとコンピューターで、該当ユーザー アカウント プロパティの [ユーザーは次回ログオン時にパスワードの変更が必要] をオフに設定します。
    • ローカル コンピューターのパスワードを変更するよう、ユーザーに依頼します。
  2. オンプレミス Active Directory Domain Services (AD DS) から Azure Active Directory (Azure AD) に変更が同期されるまで 2 分ほど待ちます。
シナリオ 2: クラウド サービス ポータルでパスワードを変更した場合
以下の手順に従い、問題を解決します。
  1. ローカル コンピューターでコンピューターのパスワードを変更するよう、ユーザーに依頼します。
  2. オンプレミス Active Directory Domain Services (AD DS) から Azure AD に変更が同期されるまで 5 分ほど待ちます。
シナリオ 3: 一部のユーザーが Azure AD に同期されていない
この問題の原因として、ユーザー名または電子メール アドレスの重複が考えられます。

この問題を解決するには、IdFix DirSync Error Remediation Tool (IdFix) を使用して、オンプレミス AD DS オブジェクトに関連する問題を特定します。IdFix は、以下の Microsoft Web サイトからインストールが可能です。この問題に関するトラブルシューティングの詳細については、以下の Microsoft Knowledge Base 資料を参照してください。
2643629: Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない
シナリオ 4: ユーザーがフィルター選択されたスコープとフィルター選択されていないスコープの間で移行している
このシナリオでは、ユーザーが現在同期可能なスコープへ移行されます。これは組織のユニット間で生じる場合もあり、あるいはユーザーの属性値が同期要件を満たすような場合にも生じます。

この問題を解決するには、「追加情報」セクションの「完全パスワード同期を実行する方法」を参照してください。
シナリオ 5: 以前のパスワードでサインインできるが、新しいパスワードでサインインできない
このシナリオでは、パスワード同期に Azure AD 同期サービスを使用しています。ディレクトリ同期を無効にしたあとで再度有効にすると、ユーザーは新しいパスワードでサインインできません。ところが、以前のパスワードを使用するとサインインできます。

この問題を解決するには、パスワード同期を再有効化します。Azure AD 同期アプライアンス構成ウィザードを立ち上げ、パスワード同期を有効化するオプションが表示されるまで画面を進めてください。

シナリオ 6: パスワードでサインインできない
このシナリオでは、パスワード ハッシュが Azure AD 同期サービスと正常に同期されません。ユーザー アカウントが Windows Server 2003 以前のバージョンの Windows Server で実行している Azure Directory で作成された場合、当該アカウントにはパスワード ハッシュがありません。

ディレクトリ同期が有効な状況ですべてのユーザーのパスワードが同期されない


このシナリオでは、すべてのユーザーのパスワードが同期されません。

この問題は、以下のいずれかの条件に当てはまると発生します。
  • [Synchronize now] (今すぐ同期) チェックボックスがチェックされていない。
  • ディレクトリ同期を実施した後で、パスワード同期を有効にした。
  • 完全ディレクトリ同期が完了していない。

重要:

完全ディレクトリ同期が完了するまで、パスワード同期は開始されません。

この問題を解決するには、パスワード同期を有効にしていることを確認します。Azure Active Directory 同期アプライアンスの構成ウィザードを開始し、パスワード同期を有効にするためのオプションが表示されるまで、画面の指示に従います。

パスワード同期が有効にされると、完全パスワード同期を実行する必要があります。「追加情報」セクションの「完全パスワード同期を実行する方法」を参照してください。

シングル サインオン (SSO) からパスワード同期にソリューションを変更


この問題を解決するには、以下の Microsoft TechNet Wiki 記事を参照してください。


イベント ビューアーに表示されるイベント ID

以下は、アプリケーション ログ内に表示される、パスワード同期に関連するイベント ID の一覧表です。

情報 (アクションなし)

イベント ID説明原因
650プロビジョン資格情報バッチの開始。カウント: 1オンプレミス AD DS からパスワードの更新情報を取得する、パスワード同期が開始しました。
651プロビジョン資格情報バッチの終了。カウント: 1オンプレミス AD DS からパスワードの更新情報を取得する、パスワード同期が終了しました。
653プロビジョン資格情報のピングが開始しました。パスワード同期は、同期が必要なパスワードがないことを Azure AD に通知しています。オンプレミス AD DS でパスワードが更新されていない場合は、30 分おきにこの通知が発生します。
654プロビジョン資格情報のピングが終了しました。パスワード同期は、同期が必要なパスワードがないことの Azure AD への通知を終了しました。オンプレミス AD DS でパスワードが更新されていない場合は、30 分おきにこの通知が発生します。
656パスワード変更リクエスト - Anchor : H552hI9GwEykZwof74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, 日付と時刻 : 05/01/2013 16:34:08パスワード同期による、変更済みパスワードの検出、および Azure AD への同期試行が示されています。パスワードを変更し、同期対象であるユーザー (複数の場合あり) を特定します。1 つのバッチには、最小 1 ユーザーから最大 50 ユーザーまでが含まれます。
657パスワード変更リクエスト - Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success.ユーザーのパスワードは正常に同期されました。
657パスワード変更リクエスト - Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed.ユーザーのパスワードは同期されませんでした。

情報 (アクション必要の可能性あり)

イベント ID説明原因詳細
0次のパスワード変更は同期に失敗し、再試行するようにスケジュールされました。

DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local
ユーザー (複数の場合有) のパスワードは同期されませんでした。
115Windows Azure Active Directory へのアクセスは拒否されました。テクニカル サポートに問い合わせてください。Azure Active Directory の資格情報は Forefront Identity Manager (FIM) で更新されています。Azure Active Directory 構成ウィザードを再度実行してください。以下の Microsoft Knowledge Base 資料を参照してください。
2962509: FIM で Azure Active Directory 資格情報を更新後、パスワード ハッシュの同期が停止する
657パスワード変更リクエスト - Anchor : B0H+OD3LM0GEnYODwdPhpg==, Result : failed, Extended Error : ユーザー (複数の場合あり) のパスワードは同期されませんでした。

エラー (アクション必要)

イベント ID説明原因詳細
0ユーザー名またはパスワードが正しくありません。ユーザー名を確認して、パスワードをもう一度入力してください。Azure Active Directory の資格情報は Forefront Identity Manager (FIM) で更新されています。Azure Active Directory 構成ウィザードを再度実行してください。以下の Microsoft Knowledge Base 資料を参照してください。
2962509: FIM で Azure Active Directory 資格情報を更新後、パスワード ハッシュの同期が停止する

611ドメイン <Contoso.com> のパスワード同期に失敗しました。

Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: 復元タスクを実行できませんでした。 ---> Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC Error 8439 : このレプリケーション操作に対して指定された識別名は無効です。_IDL_DRSGetNCChanges を呼び出しているときにエラーが発生しました。
Windows 2003 サーバーのドメイン コントローラーが、特定のシナリオに予期せぬ処理を実行しました。2867278: Azure AD でパスワード ハッシュ同期が停止し、イベント ID 611 が記録される
611ドメイン <Contoso.com> のパスワード同期に失敗しました。

Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC Error 8593 : 要求された操作に含まれるサーバーが、異なるレプリケーション エポック (通常、進行中のドメインの名前変更に関係しています) のものであるため、ディレクトリ サービスは要求された操作を実行できません。
Azure Active Directory 同期ツールのビルド 1.0.6455.0807 で修正済みの既知の問題です。問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。
611ドメイン <Contoso.com> のパスワード同期に失敗しました。

System.ArgumentOutOfRangeException: 有効な Win32 ではありません。
Azure Active Directory 同期ツールのビルド 1.0.6455.0807 で修正済みの既知の問題です。問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。
611ドメイン <Contoso.com> のパスワード同期に失敗しました。

System.ArgumentException: 同一のキーを含む項目が既に追加されています。
Azure Active Directory 同期ツールのビルド 1.0.6455.0807 で修正済みの既知の問題です。問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。
652資格情報プロビジョニング バッチに失敗しました。エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。エラー コード: 90. エラーの説明: この会社ではパスワード同期がアクティブ化されていません。トラッキング ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 サーバー名: BL2GR1BBA003. ---> System.ServiceModel.FaultException`1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社ではパスワード同期がアクティブ化されていません。 (エラーの説明は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と同様)オンプレミス AD DS から変更済みパスワードを取得する際に、パスワード同期に失敗しました。
652資格情報のプロビジョニング バッチの失敗

エラー: Microsoft.Online.Coexistence.ProvisionRetryException: 次のエラーが発生

エラー コード: 81エラーの詳細: Azure Active Directory は現在ビジー状態です。この操作は自動的に再試行されます。
Azure Active 同期ツールのビルド 1.0.6455.0807 で修正済みの既知の問題です。問題を解決するには、Azure Active 同期ツールを最新版に更新してください。
655資格情報プロビジョニングのピングに失敗しました。エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。エラー コード: 90. エラーの説明: この会社ではパスワード同期がアクティブ化されていません。トラッキング ID: 0744fa31-1d9b-453a-83d8-c2555d843802 Server Name: BL2GR1BBA005. ---> System.ServiceModel.FaultException`1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社ではパスワード同期がアクティブ化されていません。(エラーの説明は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と同様)パスワード同期処理は、同期が必要なパスワードがないことを、Azure AD に通知できませんでした。この通知は 30 分おきに発生します。
655ユーザー名またはパスワードが正しくありません。ユーザー名を確認して、パスワードをもう一度入力してください。Azure Active Directory 資格情報は FIM で更新されています。Azure Active Directory 構成ウィザードを再度実行してください。以下の Microsoft Knowledge Base 資料を参照してください。
2962509: FIM で Azure Active Directory 資格情報を更新後、パスワード ハッシュの同期が停止する

6900パスワード変更通知の処理中にサーバーで予期しないエラーが発生しました。

ユーザー名またはパスワードが正しくありません。ユーザー名を確認して、パスワードをもう一度入力してください。
Azure Active Directory 資格情報は FIM で更新されています。Azure Active Directory 構成ウィザードを再度実行してください。以下の Microsoft Knowledge Base 資料を参照してください。

2962509: FIM で Azure Active Directory 資格情報を更新後、パスワード ハッシュの同期が停止する
6900パスワード変更通知の処理中にサーバーで予期しないエラーが発生しました。

エラーが発生しました。コード: 90. エラーの説明: この会社のパスワード同期が有効ではありません。"
この会社のパスワード同期が有効ではありません。以下の Microsoft Knowledge Base 資料を参照してください。

2848640: ユーザーのパスワードが同期されず、イベント ビューアーに "Password Synchronization has not been activated for this company" エラーが記録される
追加情報

完全パスワード同期を実行する方法

Azure Active Directory 同期アプライアンスに対する手順に従ってください。

Azure Active Directory 同期ツールを使用している場合

  1. ツールがインストールされているサーバー上で、PowerShell を開き、以下のコマンドレットを実行してください。
    Import-Module DirSync
  2. 以下のコマンドレットを実行してください。
    1. Set-FullPasswordSync
    2. Restart-Service FIMSynchronizationService -Force

Azure Active Directory 同期または Azure Active Directory Connect を使用している場合

以下の Microsoft Web サイトにアクセスし、提供されたスクリプトを実行します。 その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2855271 - 最終更新日: 06/07/2016 02:56:00 - リビジョン: 16.0

Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management, Microsoft Azure Cloud Services

  • o365 o365a o365e o365m o365022013 hybrid KB2855271
フィードバック